Schlagwort-Archive: Schadsoftware

Sicherheit von 5G-Konnektivität im Unternehmen

Um von den Vorteilen von 5G zu profitieren, sind umfassende Vorbereitung und Planungen erforderlich. Es bietet sich an, zuerst die Änderungen zu erfassen, die 5G-Netzwerke für ein Unternehmen und dessen Sicherheit mit sich bringen

Die Erwartungen an 5G sind nicht nur wegen dessen technischer Weiterentwicklung hoch, sondern auch wegen der weiteren Technologien, die der Standard ermöglicht. Die neueste Generation der mobilen Funkkommunikation ist eine Antwort auf die schnelle Ausbreitung digitaler Technologie. Heutige schwankende Geschwindigkeiten von 4G- und älteren Netzwerken zeigen nur zu deutlich, wie überfüllt Verbindungen geworden sind. Unbestreitbar besteht ein Bedarf an Breitbandnetzwerken, die nicht nur schneller sind, sondern auch eine konsistente Konnektivität für bedeutend mehr Geräte liefern können

Doch die kommenden Vorteile kann nur nutzen, wer einen realistischen Ansatz für die Implementierung von 5G wählt. Dazu gehört auch eine Vorbereitung auf die dynamische, volatile, datengetriebene Art und Weise des Standards, denn diese Charakteristiken können für die Sicherheit eines Unternehmens Folgen haben und damit die von 5G angekündigten Fortschritte zunichtemachen.

Cybersecurity- und Datenfragen in 5G
Einer der ersten Problembereiche bei der Umsetzung von 5G ist die Menge der gesammelten Daten und wie sie interpretiert werden. Das wiederum wirft Sicherheitsbedenken auf, insbesondere im Hinblick auf die Erkennung. Der Start von 5G könnte die Überprüfung von Regeln zum Herausfiltern von bösartigem Netzwerkverkehr erforderlich machen, da die derzeit verwendeten Regeln die Feinheiten des mit 5G möglichen, stark individualisierten Verkehrs möglicherweise nicht erkennen. Das Hinzukommen weiterer IoT-Geräte könnte zusätzlich Zuordnungsprobleme für Sicherheitsstatistiken bereiten, die bislang nur zur Überwachung von menschlichen Teilnehmern verwendet wurden – im Gegensatz zu Maschinenteilnehmern, einem zweiten Teilnehmertyp, der aus IoT-Geräten besteht.

Von entscheidender Bedeutung für die Vorbereitung auf 5G ist auch die allgemeine Cybersicherheitsstrategie des Unternehmens bezüglich der Übertragung von Daten. Sicherheit muss nach sorgfältiger Planung umgesetzt werden und schließt eine organisierte Struktur mit ein, die dazu beiträgt, Angriffe zu verhindern oder ihre Auswirkungen abzuschwächen sowie Raum für notwendige Veränderungen in der Zukunft zu schaffen. Das Fehlen einer Sicherheitsarchitektur führt möglicherweise zu deiner Verzögerung des Einsatzes neuer Technologien wie der von 5G.
Zudem hat der Wechsel von hardware- zu softwaredefinierten Netzwerken einen Einfluss auf die benötigten Fähigkeiten für den geeigneten Betrieb und Absicherung von Netzwerkprozessen. Unternehmen werden mehr Fachleute brauchen, die die Hauptprobleme in einem softwaredefinierten Netzwerk identifizieren können, und gleichzeitig für eine erweiterte Incident Response sorgen. Aktuelle Sicherheitsteams müssen möglicherweise auch ihre Fähigkeiten in der Softwarecodierung ausweiten, um mit höherer Genauigkeit  Daten, die mit der Verwendung von 5G verbunden sind, zu interpretieren und zu profilieren

Absichern des Unternehmens
Verschiedene Sicherheitstechniken und –technologien unterstützen bei der Lösung dieser Fragen und erleichtern den Wechsel auf 5G. Abhilfe bei sinkender Leistung einer Sicherheitsarchitektur infolge von schwachen Erkennungsraten kann beispielsweise der Einsatz eines Sicherheitsorchestrators schaffen oder geschäftsorientierte Regeln auf Machine Learning-Basis, die Sicherheit und Vertraulichkeit als Funktion einsetzen. Die Verwendung von 5G Machine Learning kann auch dabei unterstützen, eine neue Referenzlinie zu erstellen, die wiederum identifiziert, was akzeptabler Netzwerkverkehr ist. Dadurch wird der Druck auf Sicherheitspersonal oder Experten im Unternehmen reduziert

Einzelheiten zu den möglichen Auswirkungen von 5G auf die Unternehmenssicherheit sind im Trend Micro-Whitepaper „The Deep Blue Sea of 5G” enthalten.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloudkann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen

Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).
Weiterlesen

IDC MarketScape für weltweite E-Mail Security führt Trend Micro als „Leader“

Originalbeitrag von Wendy Moore

Das Marktforschungsinstitut IDC hat Trend Micro im „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ (Dezember 2016).als „Leader“ eingestuft.

Weiterlesen →

Endpoint-Lösungen können Unternehmen vor Ransomware schützen

Originalartikel von Marvin Cruz, Ryuji Fortuna und Joselito Dela Cruz / blog.trendmicro.de

Allein für dieses Jahr prognostiziert das FBI einen Gesamtschaden von einer Milliarde $ durch Ransomware. Und das Geschäft boomt. Kleine und mittlere Unternehmen haben meist nur begrenzte Ressourcen für starke Sicherheitslösungen zur Verfügung. Trotz mehrschichtiger Sicherheit könnten die Unternehmensnetzwerke gefährdet sein, wenn die Bedrohung aus bekannten und vertrauenswürdigen Quellen kommt, etwa Partner, Drittanbieter, Kontakte oder auch den Mitarbeitern selbst. Angesichts dieser Aussichten könnten Endpunktlösungen mit gutem Verhaltensmonitoring und Anwendungskontrolle die letzte Verteidigungslinie gegen Ransomware darstellen.

Weiterlesen

Neue Crypto-Ransomware JIGSAW spielt fiese Spiele

Originalbeitrag von Jasen Sumalapao

Mit der kürzlich entdeckten Crypto-Ransomware Jigsaw geht die Entwicklung im Verhalten der Erpressungssoftware einen Schritt weiter. Diese Schadsoftware spielt mit dem Nutzer, indem sie dessen Dateien inkrementell blockiert und löscht. Damit schürt sie die Angst und setzt ihre Opfer unter Druck zu zahlen. In Anlehnung an den Film „Saw“ bringt sie sogar ein Bild der Billy-Puppe auf den Bildschirm.

Mittlerweile ist es Teil des Ransomware-Spiels, „einzigartige“ Funktionalität hinzuzufügen oder „kreative“ Wege zu finden, die Angst der Opfer zu steigern, damit diese das gewünschte Lösegeld zahlen. Technisch gesehen gibt es nicht viele Unterschiede zwischen den einzelnen Varianten. Jigsaw gehört zur berüchtigten Familie von Petya und Cerber.

Weiterlesen